Carding 4 Carders
Professional
- Messages
- 2,724
- Reaction score
- 1,586
- Points
- 113
Связанный с Ираном субъект, представляющий угрозу для нефтяной компании, нацелился на неназванное правительство Ближнего Востока в период с февраля по сентябрь 2023 года в рамках восьмимесячной кампании.
Атака привела к краже файлов и паролей и, в одном случае, привела к развертыванию бэкдора PowerShell под названием PowerExchange, говорится в отчете Symantec Threat Hunter, входящего в состав Broadcom, которым поделилась The Hacker News.
Фирма по кибербезопасности отслеживает активность под именем Crambus, отмечая, что злоумышленник использовал имплантат для "мониторинга входящих писем, отправляемых с сервера Exchange в
для выполнения команд, отправленных злоумышленниками в виде электронных писем, и тайной пересылки результатов злоумышленникам."
Сообщается, что вредоносная активность была обнаружена не менее чем на 12 компьютерах, при этом бэкдоры и кейлоггеры были установлены на дюжине других машин, что указывает на широкую компрометацию цели.
Использование PowerExchange было впервые освещено Fortinet FortiGuard Labs в мае 2023 года, когда была задокументирована цепочка атак, нацеленных на правительственную организацию, связанную с Объединенными Арабскими Эмиратами.
Имплантат, который отслеживает входящие электронные письма на скомпрометированные почтовые ящики после входа на сервер Microsoft Exchange с жестко заданными учетными данными, позволяет субъекту угрозы запускать произвольные полезные нагрузки и загружать файлы с зараженного хоста и на него.
"Письма, полученные с "@@" в теме письма, содержат команды, отправленные злоумышленниками, что позволяет им выполнять произвольные команды PowerShell, записывать файлы и красть файлы", - пояснили в компании. Вредоносная программа создает правило обмена (называемое "defaultexchangerules") для фильтрации этих сообщений и автоматического перемещения их в папку "Удаленные"."
Вместе с PowerExchange были также развернуты три ранее не обнаруженных вредоносных программы, которые описаны ниже -
"Crambus - давно действующая и опытная шпионская группа, обладающая обширным опытом в проведении длительных кампаний, нацеленных на цели, представляющие интерес для Ирана", - заявили в Symantec. "Ее деятельность в течение последних двух лет демонстрирует, что она представляет постоянную угрозу для организаций на Ближнем Востоке и за его пределами".
Атака привела к краже файлов и паролей и, в одном случае, привела к развертыванию бэкдора PowerShell под названием PowerExchange, говорится в отчете Symantec Threat Hunter, входящего в состав Broadcom, которым поделилась The Hacker News.
Фирма по кибербезопасности отслеживает активность под именем Crambus, отмечая, что злоумышленник использовал имплантат для "мониторинга входящих писем, отправляемых с сервера Exchange в
для выполнения команд, отправленных злоумышленниками в виде электронных писем, и тайной пересылки результатов злоумышленникам."
Сообщается, что вредоносная активность была обнаружена не менее чем на 12 компьютерах, при этом бэкдоры и кейлоггеры были установлены на дюжине других машин, что указывает на широкую компрометацию цели.
Использование PowerExchange было впервые освещено Fortinet FortiGuard Labs в мае 2023 года, когда была задокументирована цепочка атак, нацеленных на правительственную организацию, связанную с Объединенными Арабскими Эмиратами.
Имплантат, который отслеживает входящие электронные письма на скомпрометированные почтовые ящики после входа на сервер Microsoft Exchange с жестко заданными учетными данными, позволяет субъекту угрозы запускать произвольные полезные нагрузки и загружать файлы с зараженного хоста и на него.
"Письма, полученные с "@@" в теме письма, содержат команды, отправленные злоумышленниками, что позволяет им выполнять произвольные команды PowerShell, записывать файлы и красть файлы", - пояснили в компании. Вредоносная программа создает правило обмена (называемое "defaultexchangerules") для фильтрации этих сообщений и автоматического перемещения их в папку "Удаленные"."
Вместе с PowerExchange были также развернуты три ранее не обнаруженных вредоносных программы, которые описаны ниже -
- Tokel - бэкдор для выполнения произвольных команд PowerShell и загрузки файлов
- Dirps, троянец, способный перечислять файлы в каталоге и выполнять команды PowerShell, а также
- Clipog - похититель информации, предназначенный для сбора данных из буфера обмена и нажатий клавиш
"Crambus - давно действующая и опытная шпионская группа, обладающая обширным опытом в проведении длительных кампаний, нацеленных на цели, представляющие интерес для Ирана", - заявили в Symantec. "Ее деятельность в течение последних двух лет демонстрирует, что она представляет постоянную угрозу для организаций на Ближнем Востоке и за его пределами".
